← Zurück zum Blog
7 Min. Lesezeit

Integriertes Sicherheitsmanagement: Informationssicherheit, BCM und Supply Chain Security zusammenführen

ISMSBCMSupply Chain SecurityIntegriertes ManagementResilienz

Viele Organisationen betreiben separate Managementsysteme für Informationssicherheit (ISMS), Business Continuity (BCMS) und Lieferkettensicherheit. Das Ergebnis: Parallele Strukturen, redundante Dokumentation, widersprüchliche Risikobewertungen und – im Ernstfall – Koordinationschaos. Ein integriertes Sicherheitsmanagement löst diese Probleme und schafft echte organisatorische Resilienz.

Warum Integration?

Das Silo-Problem

In der Praxis sehen wir häufig folgende Konstellation:

  • Der CISO verantwortet das ISMS nach ISO 27001
  • Der BCM-Manager betreibt ein BCMS nach ISO 22301
  • Der Einkauf oder eine Compliance-Funktion kümmert sich um Lieferantenrisiken
  • Eventuell gibt es noch einen physischen Sicherheitsbeauftragten

Jeder Bereich hat eigene Risikobewertungen, eigene Dokumentation, eigene Prozesse und eigene Berichtslinien. Die Konsequenzen:

Redundanz: Dieselben Assets werden mehrfach erfasst und bewertet. Dieselben Lieferanten werden von verschiedenen Stellen geprüft. Dieselben Mitarbeiter werden zu ähnlichen Themen unterschiedlich geschult.

Inkonsistenz: Das ISMS bewertet einen Server als kritisch, das BCM als weniger relevant. Die Lieferantenbewertung berücksichtigt keine IT-Sicherheitsaspekte. Physische Sicherheit und Cybersecurity sprechen nicht miteinander.

Blinde Flecken: Hybride Bedrohungen, die mehrere Domänen betreffen, werden nicht erkannt. Ein Cyberangriff auf einen Lieferanten kann die Produktion stoppen, aber diese Kette wird in keinem System vollständig abgebildet.

Koordinationsprobleme: Im Krisenfall wissen die verschiedenen Stäbe nicht, wer führt, wer informiert wird und welche Pläne gelten.

Der Mehrwert der Integration

Ein integriertes Sicherheitsmanagement bietet demgegenüber:

  • Einheitliche Risikosicht: Alle Risiken werden nach derselben Methodik bewertet und in einer Gesamtschau dargestellt.
  • Effizienz: Gemeinsame Prozesse, gemeinsame Dokumentation, gemeinsame Audits.
  • Kohärenz: Maßnahmen bauen aufeinander auf und verstärken sich gegenseitig.
  • Bessere Entscheidungen: Das Management erhält ein vollständiges Lagebild.
  • Echte Resilienz: Die Organisation kann auf komplexe, domänenübergreifende Bedrohungen reagieren.

Die drei Säulen verstehen

Bevor wir die Integration angehen, müssen wir die drei Disziplinen in ihrem Kern verstehen.

Informationssicherheit (ISMS)

Fokus: Schutz von Informationen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit.

Typische Standards: ISO 27001, BSI-Grundschutz, NIST CSF

Kernprozesse:

  • Risikomanagement für Informationssicherheitsrisiken
  • Implementierung von technischen und organisatorischen Maßnahmen
  • Incident Management für Sicherheitsvorfälle
  • Awareness und Schulung

Typische Assets: Daten, IT-Systeme, Anwendungen, Netzwerke, aber auch Papierakten und Know-how.

Business Continuity Management (BCMS)

Fokus: Aufrechterhaltung kritischer Geschäftsprozesse bei Störungen und schnelle Wiederherstellung.

Typische Standards: ISO 22301, BSI 200-4

Kernprozesse:

  • Business Impact Analyse (BIA)
  • Notfallplanung und Krisenmanagement
  • Übungen und Tests
  • Kontinuierliche Verbesserung

Typische Assets: Geschäftsprozesse, Ressourcen (Personal, Standorte, IT, Lieferanten), zeitkritische Aktivitäten.

Supply Chain Security

Fokus: Identifikation und Management von Risiken aus der Lieferkette – sowohl physisch als auch digital.

Typische Standards: ISO 28000, NIST SP 800-161, branchenspezifische Anforderungen

Kernprozesse:

  • Lieferantenidentifikation und -klassifizierung
  • Risikobewertung von Lieferanten
  • Vertragliche Sicherheitsanforderungen
  • Monitoring und Audits

Typische Assets: Lieferanten, Dienstleister, Vorprodukte, Logistikketten, ausgelagerte Prozesse.

Architektur eines integrierten Systems

Gemeinsame Governance

Der erste Schritt ist eine gemeinsame Governance-Struktur:

Integriertes Sicherheitskomitee: Ein übergreifendes Gremium, das alle drei Bereiche steuert. Hier sitzen CISO, BCM-Manager, Einkaufsleitung und ggf. physische Sicherheit gemeinsam. Das Komitee berichtet direkt an die Geschäftsführung.

Klare Rollenverteilung: Die Fachverantwortlichen behalten ihre Expertise, aber arbeiten nach gemeinsamen Prinzipien und mit gemeinsamen Werkzeugen.

Einheitliches Reporting: Ein Dashboard, das alle drei Bereiche integriert und dem Management ein Gesamtbild liefert.

Gemeinsames Risikomanagement

Das Herzstück der Integration ist ein gemeinsames Risikomanagement:

Einheitliche Risikotaxonomie: Definieren Sie gemeinsame Kategorien für Risiken, die alle drei Bereiche abdecken. Beispiele:

  • Cyberangriff (ISMS + BCM + Supply Chain)
  • Ausfall eines kritischen Lieferanten (Supply Chain + BCM)
  • Datenverlust durch Dienstleister (ISMS + Supply Chain)
  • Standortausfall (BCM + physische Sicherheit)

Gemeinsame Bewertungsmethodik: Dieselben Skalen für Eintrittswahrscheinlichkeit und Auswirkung. Dieselben Kriterien für die Risikoakzeptanz.

Integriertes Risikoregister: Ein zentrales Register, das alle Risiken erfasst und ihre Wechselwirkungen darstellt.

Risikoeigner über Silos hinweg: Manche Risiken haben Eigner aus verschiedenen Bereichen, die gemeinsam für die Behandlung verantwortlich sind.

Integrierte Prozesse

Asset-Management: Ein gemeinsames Asset-Inventar, das Informationen, Systeme, Prozesse und Lieferanten umfasst. Jedes Asset hat Attribute für alle drei Bereiche:

  • Schutzbedarf (ISMS)
  • Kritikalität für Geschäftsprozesse (BCM)
  • Abhängigkeit von Lieferanten (Supply Chain)

Lieferantenmanagement: Der Prozess zur Lieferantenbewertung integriert:

  • IT-Sicherheitsanforderungen (ISMS)
  • Business-Continuity-Fähigkeiten (BCM)
  • Lieferkettenrisiken (Supply Chain)

Incident und Crisis Management: Ein einheitlicher Prozess für alle Arten von Vorfällen:

  • Triage und Klassifikation
  • Eskalation nach einheitlichen Kriterien
  • Einheitlicher Krisenstab
  • Koordinierte Kommunikation

Übungen: Gemeinsame Übungen, die Szenarien aus allen drei Bereichen kombinieren. Ein Ransomware-Angriff ist gleichzeitig ein IT-Sicherheitsvorfall, eine Business-Continuity-Krise und möglicherweise ein Lieferkettenthema.

Gemeinsame Dokumentation

Integriertes Managementsystem-Handbuch: Ein Dokument, das die gemeinsame Governance, Prinzipien und Prozesse beschreibt.

Modulare Richtlinien: Richtlinien, die bereichsspezifisch sind, aber auf gemeinsamen Grundsätzen aufbauen und aufeinander verweisen.

Gemeinsame Vorlagen: Einheitliche Templates für Risikoanalysen, Maßnahmenpläne, Berichte.

Zentrales Dokumentenmanagement: Eine Ablage für alle Dokumente mit klarer Struktur und Versionierung.

Implementierungsfahrplan

Phase 1: Analyse und Design (2-3 Monate)

Bestandsaufnahme:

  • Welche Systeme und Prozesse existieren heute?
  • Wo gibt es Überschneidungen und Lücken?
  • Wer sind die Stakeholder und was sind ihre Bedürfnisse?

Gap-Analyse:

  • Vergleich mit dem Zielzustand eines integrierten Systems
  • Identifikation der größten Ineffizienzen
  • Priorisierung der Handlungsfelder

Design:

  • Governance-Struktur entwerfen
  • Risikomanagement-Framework definieren
  • Prozesslandkarte erstellen
  • Dokumentationsstruktur planen

Phase 2: Pilotierung (3-4 Monate)

Pilot-Scope wählen: Einen Bereich oder Prozess wählen, der alle drei Disziplinen berührt. Beispiel: Ein kritischer Geschäftsprozess mit IT-Abhängigkeit und externen Dienstleistern.

Integrierte Risikoanalyse: Für den Pilot-Scope eine vollständig integrierte Risikoanalyse durchführen.

Prozesse erproben: Die neuen integrierten Prozesse im Pilotbereich testen.

Lessons Learned: Erfahrungen sammeln und das Design anpassen.

Phase 3: Rollout (6-12 Monate)

Schrittweise Ausweitung: Das integrierte System auf weitere Bereiche ausweiten.

Change Management: Schulungen, Kommunikation, Einbindung der Mitarbeiter.

Tool-Konsolidierung: GRC-Tools zusammenführen oder ein integriertes Tool einführen.

Dokumentation finalisieren: Alle Dokumente in die neue Struktur überführen.

Phase 4: Optimierung (fortlaufend)

Kennzahlen: KPIs für das integrierte System etablieren und monitoren.

Audits: Interne Audits über alle Bereiche hinweg, externe Zertifizierungsaudits koordinieren.

Kontinuierliche Verbesserung: Regelmäßige Reviews und Anpassungen.

Typische Herausforderungen

Organisatorische Widerstände

Die größte Hürde ist oft nicht technisch, sondern politisch. Die Verantwortlichen der einzelnen Bereiche haben über Jahre ihre Domänen aufgebaut und sehen die Integration möglicherweise als Bedrohung.

Lösungsansätze:

  • Klare Kommunikation der Vorteile für alle Beteiligten
  • Erhalt der fachlichen Verantwortung bei integrierter Governance
  • Quick Wins identifizieren und kommunizieren
  • Unterstützung durch die Geschäftsführung sichern

Unterschiedliche Reifegrade

Häufig sind die drei Bereiche unterschiedlich weit entwickelt. Das ISMS ist vielleicht zertifiziert, das BCM existiert nur rudimentär, und Lieferkettensicherheit wird ad hoc betrieben.

Lösungsansätze:

  • Den am weitesten entwickelten Bereich als Ankerpunkt nutzen
  • Mindestanforderungen für alle Bereiche definieren
  • Schrittweise Angleichung statt Big Bang

Tool-Landschaft

Jeder Bereich hat möglicherweise eigene Tools: Ein GRC-Tool für das ISMS, eine BCM-Software, Excel-Listen für Lieferanten.

Lösungsansätze:

  • Mittelfristig auf ein integriertes GRC-Tool konsolidieren
  • Kurzfristig Schnittstellen und gemeinsame Datenmodelle schaffen
  • Manuelle Workarounds akzeptieren, aber Zielbild definieren

Zertifizierungsdruck

Die Organisation muss möglicherweise separate Zertifizierungen aufrechterhalten (ISO 27001, ISO 22301). Das kann die Integration erschweren.

Lösungsansätze:

  • Integrierte Audits planen (viele Zertifizierer bieten kombinierte Audits an)
  • Das integrierte System so gestalten, dass es alle Standards erfüllt
  • Die High-Level-Structure der ISO-Normen nutzen (gemeinsame Kapitelstruktur)

Erfolgsfaktoren

Sponsorship: Ohne klare Unterstützung der Geschäftsführung wird die Integration scheitern. Die Führung muss die Vision kommunizieren und Ressourcen bereitstellen.

Pragmatismus: Nicht alles auf einmal. Lieber mit einem funktionierenden Piloten starten als mit einem perfekten Konzept auf dem Papier.

Gemeinsame Sprache: Investieren Sie in ein gemeinsames Glossar und einheitliche Definitionen. Viele Konflikte entstehen durch unterschiedliche Begrifflichkeiten.

Integrierte Übungen: Nichts demonstriert den Wert der Integration besser als eine gemeinsame Krisenübung, die zeigt, wie die Bereiche zusammenspielen.

Messbare Ergebnisse: Definieren Sie von Anfang an, woran Sie den Erfolg messen. Beispiele: Reduzierte Audit-Tage, schnellere Reaktionszeiten, weniger Doppelarbeit.

Fazit

Ein integriertes Sicherheitsmanagement für Informationssicherheit, Business Continuity und Supply Chain Security ist kein Luxus, sondern eine Notwendigkeit. Die Bedrohungen von heute sind zu komplex und zu vernetzt, um sie in Silos zu behandeln.

Die Integration erfordert Aufwand, vor allem in der Überwindung organisatorischer Hürden. Aber der Ertrag ist erheblich: Effizienz, Kohärenz und echte Resilienz, die Ihre Organisation auf komplexe Krisen vorbereitet.

Starten Sie nicht mit der perfekten Lösung, sondern mit dem ersten Schritt: Bringen Sie die Verantwortlichen der drei Bereiche an einen Tisch und identifizieren Sie gemeinsam die größten Synergien.

Sie möchten Ihre Managementsysteme integrieren oder ein integriertes System von Grund auf aufbauen? Wir begleiten Sie von der Analyse über das Design bis zur Implementierung – pragmatisch und ergebnisorientiert.

Sie möchten diese Themen in Ihrem Unternehmen angehen? Siegel Resilience unterstützt Sie von der Analyse bis zur Umsetzung – unabhängig, pragmatisch und normkonform. Kontakt aufnehmen →

Teilen: